forum.opennet.ru

"Уязвимость во FreeType, эксплуатируемая через TTF-шрифт"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Уязвимость во FreeType, эксплуатируемая через TTF-шрифт"	+/–
Сообщение от Lex (??), 20-Окт-20, 07:45
А с чего бы нельзя, если речь о выполнении кода злоумышленника в обычном потоке ? Песочница - она обычно только для жс и его подобий( и то, скорее, в виде некоторых ограничений и нюансов при JIT'е )
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость во FreeType, эксплуатируемая через TTF-шрифт, opennews, 20-Окт-20, 06:58 [смотреть все]

Через Web Font в браузуре или встроенный в документ шрифт в офисном пакете экспл, Аноним, 20-Окт-20, 06:58 (1) //
- Можно наверняка, судя по описанию Другой вопрос, можно ли выйти на пределы песо, timur.davletshin, 20-Окт-20, 07:28 (3) //
  - А с чего бы нельзя, если речь о выполнении кода злоумышленника в обычном потоке , Lex, 20-Окт-20, 07:45 (5) //
    - Level 4 песочниц FF для этого и придуман же - от уязвимостей через Xorg, шрифтов, timur.davletshin, 20-Окт-20, 07:55 (9)
PNG уже давно пора на помойку истории Есть же например JPG и TIFF, Аноним, 20-Окт-20, 07:26 (2) //
- TIFF - это контейнер А PNG тот же всеми установленный Noto Color Emoji использу, timur.davletshin, 20-Окт-20, 07:29 (4) //
  - Если проверенный TTF-шрифт установлен в девайс, то и узвимости нет Другой вопрос, Аноним, 20-Окт-20, 22:36 (139)
- А JPG у нас разве многослойный формат В PNG то есть альфа , m.makhno, 20-Окт-20, 07:48 (7)
- жпег - лосси, пнг - нетконтейнереще варианты , Аноним, 20-Окт-20, 07:51 (8) //
  - Только tga, всё остальное хлам я проверял Png вроде тоже лосси может быть, но, Аноним, 20-Окт-20, 08:42 (23) //
    - Там же deflate Ладно, на самом деле они с zlib только заголовком отличаются , timur.davletshin, 20-Окт-20, 08:44 (25)
    - Не может , Аноним, 20-Окт-20, 10:57 (52)
      - Я сейчас проверил, и, видимо, именно поэтому первая ссылка в выдаче сообщает, чт, Аноним, 20-Окт-20, 11:05 (54)
        
        http www libpng org pub png book chapter09 html png ch09 div 2, Аноним, 20-Окт-20, 13:00 (69)
        
        Это так, но можно удалить часть информации незаметно для глаза, восстановив её у, Аноним, 20-Окт-20, 13:04 (70)
        
        Лосси это когда фотку сжал, расжал, а расжатая фотка отличается То, что ты опис, Аноним, 20-Окт-20, 13:29 (72)
        
        Не вижу смысла это обсуждать, это точно такой же препроцессинг с потерями как у , Аноним, 20-Окт-20, 13:33 (74)
        
        Это лосслесс , Аноним, 20-Окт-20, 13:30 (73)
        
        Вернуть всё никто не обещал , Аноним, 20-Окт-20, 13:34 (75)
  - bmp gz, Чума, 20-Окт-20, 12:57 (68)
  - Жил, GIF и будет GIF, Аноним, 20-Окт-20, 22:38 (140)
- JPEG вообще PNG не заменяет PNG позволяет компактно хранить примитивные изображ, bergentroll, 20-Окт-20, 07:56 (10) //
  - Побойтесь Бога, панове Какая проприетарщина и формат В tiff и факсы с 2-мя код, timur.davletshin, 20-Окт-20, 08:01 (11) //
    - Так TIFF в общем-то, если уж совсем упрощённо, набор меток, который, согласно за, llolik, 20-Окт-20, 12:56 (67)
      - Т е TIFF , timur.davletshin, 20-Окт-20, 15:10 (92)
- правильно, все на PCX, б.б., 20-Окт-20, 09:28 (35) //
  - Или на TGA , Онаним, 20-Окт-20, 09:44 (40)
- толсто же, fooser, 20-Окт-20, 09:31 (37)
- ты что наркоман или прикидываешься PNG и на помойку Да я тебя , Аноним, 20-Окт-20, 17:51 (120)
- Ээ, почему именно jpg и tiff Почему не webp, не av1 , Аноним, 21-Окт-20, 22:01 (170)
- Как это можно сравнивать -D png сжимать картинку без потерь, в отличии от jpeg , Олег, 24-Окт-20, 23:14 (180)
Эх, тестовый шрифт что-то у меня отказался крашится на Debian Stable , timur.davletshin, 20-Окт-20, 07:47 (6) //
- Патч может уже прилетел Под Linux Mint патч присутствует, видимо портирован с D, Анонимно, 20-Окт-20, 14:01 (77) //
  - Не было никаких патчей давно на него , timur.davletshin, 20-Окт-20, 15:24 (98)
https savannah nongnu org bugs 59308 8212 тестовый файлик отсюда у кого св, timur.davletshin, 20-Окт-20, 08:05 (12)
В HarfBuzz такой ошибки нет , Аноним, 20-Окт-20, 08:06 (13)
Ахахахахахахахаха, Fracta1L, 20-Окт-20, 08:11 (14) //
- Ждём традиционных даунских комментов в стиле это всё программисты виноваты, над, Fracta1L, 20-Окт-20, 08:11 (15) //
  - Скорее на нормальном расте или питоне, которые байдизайн такого не позволяют, аг, i, 20-Окт-20, 08:24 (17) //
    - на ниме, Аноним, 20-Окт-20, 08:46 (26)
      - В Ниме же вроде нет проверок как в Расте, Fracta1L, 20-Окт-20, 08:47 (27)
    - Сотни языков такое не позволяют бай десигн, Аноним, 20-Окт-20, 10:38 (49)
  - Ты так говоришь как будто они не виноваты , Аноним, 20-Окт-20, 10:56 (51) //
    - Виноваты тем что пишут на си , Аноньимъ, 20-Окт-20, 12:47 (65)
      - Виноваты тем что не читали документацию, не прошли обучение, не использовали сов, Аноним, 20-Окт-20, 15:06 (89)
        
        Ниже некий анонимный господин расписал для умственно неполноценных подробно в че, Аноньимъ, 20-Окт-20, 18:45 (126)
    - Тебе не приходилось задумываться о концепции вины, зачем она нужна вообще Зачем, Ordu, 20-Окт-20, 13:16 (71)
      - потому что пилот уже не управляет самолетом Пилот - это оператор бортового комп, эти ваши интернеты, 20-Окт-20, 14:47 (85)
        
        И да, и нет Пилот может и оператор, но он остаётся человеком, то есть ему может, Ordu, 20-Окт-20, 16:12 (110)
        
        Вы какой-то запредельный уровень демонстрируете для этого места А комментарий ва, Аноньимъ, 20-Окт-20, 18:53 (127)
        
        Это сезонное Осенняя депрессия Заносит на поворотах Сорри , Ordu, 20-Окт-20, 22:32 (138)
      - Что за чушь А 171 человеческий фактор 187 , это не вина пилота что ли Погуг, Аноним, 20-Окт-20, 15:04 (88)
        
        Я б рекомендовал тебе не делать поспешных выводов на основании cherry-picked рез, Ordu, 20-Окт-20, 16:34 (113)
- Щястье-то какое , YetAnotherOnanym, 20-Окт-20, 09:07 (33)
- И то, что ФФ на расте, не помогло , Аноним, 20-Окт-20, 09:59 (41) //
  - ты уверено, что этот кусок кода написан именно на расте , Аноним, 20-Окт-20, 10:13 (46) //
    - Про то, что растоманы всё равно используют крестовые и сишные либы, Аноним, 20-Окт-20, 11:23 (57)
  - https wiki mozilla org OxidationЗдесь перечислены компонены лисы, которые напи, Аноним, 20-Окт-20, 11:32 (58)
- Когда тебя забанят , Аноним, 20-Окт-20, 15:20 (95) //
  - Когда вы перестанете полыхать и примете факт дырявости сишки, Fracta1L, 20-Окт-20, 16:39 (115) //
    - Ты пишешь заведомо не полную информацию то есть лжёшь, провоцируешь тем самым ок, Аноним, 20-Окт-20, 17:45 (117)
      - 1 В чем лож то 2 Если не банят, то может не нарушает , Аноньимъ, 20-Окт-20, 18:55 (128)
        
        https ru wikipedia org wiki D0 9B D0 BE D0 B6 D1 8CИзучай , Аноним, 21-Окт-20, 11:07 (163)
        
        Ложь заключается в странице википедии о лжи С вами всё в порядке , Аноньимъ, 21-Окт-20, 12:35 (167)
        
        Чтобы добиться технического бана на опеннете, надо быть куда более ушибленым ви, Michael Shigorin, 29-Окт-20, 19:50 (184)
- https www opennet ru openforum vsluhforumID3 122156 html 100, Аноним, 20-Окт-20, 15:40 (104)
Ребята, не переживайте, в генту уже приложили патч к ебилду и теперь мы все защи, Аноним, 20-Окт-20, 08:23 (16) //
- А, я наверное понял, почему не работает У меня freetype без png И без harfbuzz, Аноним, 20-Окт-20, 08:35 (21)
- По-умолчанию юблок ничего из шрифтов не блокирует, не выдумывай Но пунктик есть, timur.davletshin, 20-Окт-20, 08:51 (30) //
  - Не по-умолчанию Я сколько ни ставил его, всегда казалось, что по-умолчанию это , Аноним, 20-Окт-20, 08:54 (31) //
    - У тебя просто настройки из учётки FF автоматом грузятся , timur.davletshin, 20-Окт-20, 09:25 (34)
  - NoScript зато блокирует , Аноним, 20-Окт-20, 10:45 (50)
  - О, спасибо, поставил галочку Пару байт сэкономлю, пару мс отрисовки надеюсь тож, Аноним, 20-Окт-20, 12:48 (66) //
    - Оно экономит значительно больше Там обычно запрос идёт на какой-нибудь левый се, timur.davletshin, 20-Окт-20, 15:15 (94)
  - Интересно, как в хроме настраивают это все У них вроде about congig нету, Карабьян, 21-Окт-20, 02:52 (152)
- С генты жидо-масоны выкинули hardened-sources который защищал от ВСЕХ уязвимосте, Аноним, 20-Окт-20, 15:37 (103) //
  - У меня были проблемы с java и wine на hardened И с nvidia-drivers Шутки ради н, Аноним, 20-Окт-20, 16:15 (111) //
    - А, ещё для адоб флеша приходилось отключать Как можно пользоваться ПК без адоб , Аноним, 20-Окт-20, 16:16 (112)
    - Ты посмотри реализации и сравни В GrSecurity строгая, бескомпромиссная реализац, Аноним, 20-Окт-20, 18:07 (123)
Кто-то ещё использует шрифты сайтов, а не свои, в браузерах Ну тогда - ССЗБ , ryoken, 20-Окт-20, 08:30 (19) //
- Было бы всё классно, если бы добрая часть вебдизайнеров не использовала кастомны, timur.davletshin, 20-Окт-20, 08:49 (29) //
  - Потому что ожидать, что у всех будет символьный шрифт с нужным тебе символом это, Аноним, 20-Окт-20, 11:00 (53) //
    - В общераспространённых шрифтах вполне достаточно символов для любых нужд , Аноним, 20-Окт-20, 15:24 (99)
    - В твоём линуксе есть, инфа 100 , timur.davletshin, 20-Окт-20, 17:47 (118)
      - В моём линуксе и Noto Color Emoji есть, но всё-таки , Аноним, 20-Окт-20, 21:35 (136)
        
        Тогда у тебя есть Opensymbol и Noto Symbols Noto Symbols 2, timur.davletshin, 21-Окт-20, 05:08 (155)
        
        Я тонко намекаю, что мой локалхост 8800 локалхосту пользователей всех времён , Аноним, 21-Окт-20, 11:20 (164)
        
        Ты переоцениваешь свою уникальность Символьные шрифты есть на всех десктопах Е, timur.davletshin, 21-Окт-20, 11:26 (165)
        
        Символьные шрифты, в которых есть все символы, которые тебе понадобятся Евгений, Аноним, 21-Окт-20, 12:40 (168)
        
        Чо ты чешешь Какие там тебе глифы нужны, которых нет в дефолтной поставке любог, timur.davletshin, 21-Окт-20, 12:47 (169)
- Кто-то ещё замарачивается шрифтами , Аноним, 20-Окт-20, 15:51 (105) //
  - Практически все Вот какой резон новостному ресурсу использовать кастомный шрифт, timur.davletshin, 20-Окт-20, 17:51 (119)
Эх, кто бы переписал на Rust или на Go лучше , Иваня, 20-Окт-20, 08:32 (20) //
- Уже https github com mooman219 fontduehttps github com raphlinus font-rshttp, Растишка, 20-Окт-20, 14:20 (79) //
  - Нет, всё ещё нет Плюс непонятно как это использовать из других языков, где so,, Аноним, 20-Окт-20, 15:31 (101)
- Раст с го ненужны Необходимо соблюдать элементарные правила которые нам деды с , Аноним, 20-Окт-20, 15:28 (100) //
  - Да, раст не нужен Просто нужно не делать ошибок при программировании которые пр, Andrii, 20-Окт-20, 15:55 (107) //
    - Нет Ошибки приводящие к переполнения буфера были есть и будут Дело в ядре OS ко, Аноним, 20-Окт-20, 16:06 (108)
      - Да хватит уже своей панацеей торговать Прочитал древнюю статейку и возомнил себ, Аноним, 20-Окт-20, 20:18 (134)
        
        Один про сишные дыры орет, второй про якобы панацею от них, называя при том поче, Карабьян, 21-Окт-20, 07:48 (159)
    - Задрали тупые программисты, и зачем же эти кретины делают ошибки , Аноним, 26-Окт-20, 23:13 (182)
- Ничего бы это не дало Да ещё и не работало бы от слова совсем , Аноним, 20-Окт-20, 15:52 (106)
Чёрт, в Android ещё не пофиксили https android googlesource com platform exter, Иваня, 20-Окт-20, 08:38 (22) //
- А нет, пофиксили и уже давно https android googlesource com platform external , Иваня, 20-Окт-20, 08:43 (24) //
  - Нет не пофиксили, там не в том месте проверка См исходный патч https git sava, Аноним, 20-Окт-20, 09:00 (32) //
    - Да нет, пофиксили, Аноним, 20-Окт-20, 09:29 (36)
- А ничего, что большинство вендоров Android не обновляет , Аноним, 20-Окт-20, 09:31 (38) //
  - Андроид давно стал самой перспективной для дыр платформой Практически все китае, timur.davletshin, 20-Окт-20, 09:44 (39) //
    - В 10ом гугль сам обновляет блоки, которые не зависят от вендора Наступает эра м, Аноним, 20-Окт-20, 11:16 (56)
      - Какие он там блоки и как обновляет А то у меня десятка и ещё не получил обновки, timur.davletshin, 20-Окт-20, 15:07 (90)
    - Самсунги получают 2 глобальных обновления андроида и ещё год фиксов после этого, Аноним, 20-Окт-20, 12:40 (63)
      - Все современные вендоры должны делать минимум два глобальных обновления делать, , Аноним, 20-Окт-20, 14:41 (83)
        
        Сказки венского леса , timur.davletshin, 20-Окт-20, 15:08 (91)
        
        Google требует двухлетний цикл с двумя крупными обновлениями для смартфонов, кот, Аноним, 20-Окт-20, 15:34 (102)
    - Китаефоны получают обычно одно мажорное обновление ОС, с мелкими обновлениями и , Kuromi, 20-Окт-20, 19:06 (129)
  - Что тут еще сказать , deb, 20-Окт-20, 12:15 (60)
  - 1 Андроидный ВебВью обновляется из плеймаркета вместе с хромом 2 Он таскает с , Аноним, 21-Окт-20, 11:31 (166)
- Поэтому я не ставлю банковские клиенты на свой рутованый древний кастом И AWFal, Аноним, 20-Окт-20, 10:01 (43) //
  - Банковские зонды с рекламой и пуш уведомлениями о новых условиях епотеки ты хоте, deb, 20-Окт-20, 12:21 (61) //
    - А это уже к Вашему банку вопросы - мне не шлют и даже всё работает без доступа к, zzz, 20-Окт-20, 12:46 (64)
      - Держите в курсе , deb, 20-Окт-20, 14:51 (87)
  - Каким образом это поможет тебе уберечь твой смарт от данной уязвимости Разве чт, Аноним, 20-Окт-20, 23:19 (141)
Вот поэтому я и отключаю внешние шрифты в браузере browser display use_document, Аноним, 20-Окт-20, 10:00 (42) //
- И вместо ВСЕЙ модной-современной навигации - разглядываешь рядок одинаковых квад, пох., 20-Окт-20, 13:46 (76) //
  - Я тоже режу сторонние шрифты umatrix ом ublock ом И, честно говоря, не наблюд, Дон Ягон, 20-Окт-20, 14:32 (81) //
    - gsmarena com навигация исчезает полностью, Аноним, 20-Окт-20, 14:34 (82)
      - Подтверждаю, спасибо , Дон Ягон, 20-Окт-20, 15:10 (93)
  - Да хрен с ними со шрифтами - в них иконки специально пихают, чтобы вынудить нас , Аноним, 22-Окт-20, 22:52 (177)
- 3 4 популярных сайтов ломаются полностью без кастомных шрифтов, ибо навигация сд, Аноним, 20-Окт-20, 14:27 (80) //
  - ну не полностью, квадратики-то останутся Можешь их наугад тыкать, так даже инте, пох., 20-Окт-20, 19:47 (131)
  - даже плагины umatrix и ublock квадратики показывают благо есть всплывающие подс, онанимуз, 20-Окт-20, 21:48 (137)
  - Иконочные шрифты должны уже давно умереть, как вёрстка таблицами SVG иконки и у, fuggy, 21-Окт-20, 01:35 (149) //
    - Круче PostScript иконки, чем SVG , Аноним, 26-Окт-20, 23:18 (183)
- pdf в браузере не опаснее обычного веба, а не в браузере у многих смотрелкам хот, timur.davletshin, 20-Окт-20, 17:55 (121) //
  - Да, как же быстро время идет Люди уже и о SHAttered стали забывать - https , Аноним, 20-Окт-20, 23:22 (142) //
    - Какое отношение коллизия имеет к безопасности Ляпнул вообще не в ту корзину , timur.davletshin, 21-Окт-20, 05:05 (154)
      - Как рендерятся в браузере шрифты встроенные в PDF , Аноним, 21-Окт-20, 09:39 (160)
        
        Поглифно рисуются при помощи https github com mozilla pdf js blob master src c, timur.davletshin, 21-Окт-20, 10:19 (161)
- хей, бро, тебя как взламали - через шрифты , Аноним, 20-Окт-20, 10:11 (45)
Уже выпустили 2 10 4 с фиксом, Moomintroll, 20-Окт-20, 10:23 (48) //
- И В большинстве реп самых популярных дистров обновлений все еще нет - https r, Аноним, 20-Окт-20, 23:26 (143)
Я думал, что когда изобретали TTF, никаких PNG не было Впервые TTF я увидел в W, Zenitur, 20-Окт-20, 11:16 (55)
Как отключить поддержку шрифтов , TormoZilla, 20-Окт-20, 12:23 (62) //
- code sudo apt-get remove --purge libfreetype6 code , Аноним, 20-Окт-20, 23:43 (145)
Поэтому, бандленные либы -- зло, передаю привет пользователям void linux или кт, Аноним, 20-Окт-20, 14:11 (78)
Почему это в мининовостях, если затрагивает вообще всех, независимо от браузера , Аноним, 20-Окт-20, 14:47 (84) //
- Не всех, а только тех кто разрешает исполнятся изменяемому коду Используете нор, Аноним, 20-Окт-20, 15:22 (97) //
  - это вы про какие , Аноним, 20-Окт-20, 23:33 (144) //
    - См дистры в репах которых уже есть FreeType 2 10 4 - https repology org proje, Аноним, 20-Окт-20, 23:46 (146)
  - Это вы про нетбсд опять Вы бы лучше написали бы, как в обычном линуксе все это , Карабьян, 21-Окт-20, 02:40 (150)
Все что исполняется никогда не должно изменятся, а все что изменяется никогда не, Аноним, 20-Окт-20, 15:20 (96) //
- JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона По, Аноним, 20-Окт-20, 16:08 (109) //
  - JIT, и все программы которые эту технологию используют не нужны, даже java, fire, Аноним, 20-Окт-20, 16:37 (114) //
    - JIT нужен, иначе скрипты и JVM-приложения будут тащиться со скоростью пихона , Аноним, 20-Окт-20, 16:47 (116)
      - 1 JIT нужен ТОЛЬКО для того, чтобы обеспечить возможность эксплуатации уязвимос, Аноним, 20-Окт-20, 17:59 (122)
        
        3 JIT придуман инопланетянами для установления контроля над человечеством посре, Аноним, 20-Окт-20, 18:33 (125)
      - Сколько разновидностей джаваскрипт машин осталось Единый байт код на все не пом, Карабьян, 21-Окт-20, 02:44 (151)
Firefox также использует FreeType, а последнее изменение файла, в котором прису, Kuromi, 20-Окт-20, 18:14 (124) //
- В ESR ещё не пофиксили, даже в 78 4, Аноним, 22-Окт-20, 12:01 (173) //
  - Честно говоря не понимаю почему Смотрю по багам закрытым в последних билдах нчо, Kuromi, 22-Окт-20, 17:01 (174)
Tor подвержен уязвимости , Аноним, 20-Окт-20, 19:43 (130) //
- только если NoScript по-умолчанию UnTrusted для всех я не помню какие там дефол, annual slayer, 20-Окт-20, 20:10 (133)
- gfx downloadable_fonts enabled false gfx downloadable_fonts woff2 enabled false, анон111, 20-Окт-20, 21:05 (135)
как всегда, NoScript рулит, annual slayer, 20-Окт-20, 20:09 (132)
Какие версии FreeType уязвимы , Аноним, 20-Окт-20, 23:50 (147) //
- Конкретно к этому CVE уязвимы версии после 2 6 Ранние версии имеют свои CVE, Аноним, 21-Окт-20, 07:00 (156)
В убунте уже freetype 2 6 1-0 1ubuntu2 5 xenial-security urgency medium SE, макароновирус, 21-Окт-20, 00:05 (148) //
- Да, они молодцы - http changelogs ubuntu com changelogs pool main f freetype f, Аноним, 21-Окт-20, 07:05 (157) //
  - В Дебиан оно банально не работает ХЗ, почему, но у меня тот шрифт не вызывает н, timur.davletshin, 21-Окт-20, 10:23 (162) //
    - Не знаю как у тебя, но Дебиан вчера накатил security патч в авральном режиме но, Аноним, 22-Окт-20, 11:15 (171)
      - Да, прилетел, но тесткейс у меня и до этого не работал и после него , timur.davletshin, 22-Окт-20, 11:47 (172)
Говорила мама не смотри на всяких левых сайтах порношрифты , Аноним, 21-Окт-20, 04:54 (153) //
- MyFonts, Open Font Library, вот это все, Аноним, 21-Окт-20, 07:08 (158)
В Firefox Nightly уже прилетел фикс, Bug 1672223 - sfnt Fix heap buffer overfl, Kuromi, 22-Окт-20, 17:08 (175) //
- Зато в дропнутую ведроверсию он не прилетит никогда Желаю корпорацие Мозилла об, Аноним, 22-Окт-20, 22:57 (178) //
  - Не знаю что вы так цепляетесь за нее Да, конечно переход на новую версию прошел, Kuromi, 23-Окт-20, 23:02 (179)
Я открыл этот шрифт и линукс завис намертво, Аноним, 22-Окт-20, 17:59 (176) //
- А брат жив , Аноним, 25-Окт-20, 21:17 (181)
Запрошенный font ttf не является файлом шрифтов Упс , ыы, 31-Окт-20, 16:57 (185)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру